一橋大学名誉教授、元JIPDECプライバシーマーク制度委員会委員長
元個人情報保護委員会委員長 堀部　政男氏

• 「IT-Report2023 Winter」全文はこちらから

本レポートは、2023年9月15日に開催されたプライバシーマーク制度創設25周年記念表彰式で行われた、堀部政男氏による記念講演の内容をまとめたものです。

1998年にプライバシーマークが創設され、今年、25周年ということで大変おめでたく存じます。

これからお話していきますように、国際的にもこのプライバシーマーク制度は大きな関心を呼んでいます。今やJIPDECといえばプライバシーマーク、プライバシーマークといえばJIPDECであると、関連付けられているように、プライバシーマークは、日本国内はもとより世界的にも知られるようになっています。

私は「歴史を知らずして現代は語れない」と述べていますが、「プライバシー・個人情報保護論議の世界的展開」について第1期から第8期まで時期区分しています。

第1期 プライバシー権の歴史的展開期（19世紀末以降）
第2期 歴史的展開期・データ保護法議論期（1960年代）
第3期 データ保護法制定萌芽期（1970年代）
第4期 国際機関基準確立・データ保護法制定発展期（1980年代）
第5期 国際機関基準確立・データ保護法展開期（1990年代）
第6期 データ保護法制定拡大期（2000年代）
第7期 現行制度の再検討議論期（2010年代）
第8期 プライバシー・個人情報保護制度のグローバル展開期（2020年代）

1970年代あたりからは10年ごとに区切ることができますが、最初の第1期「プライバシー権の歴史的展開期」は19世紀末に遡ります。

1890年にHarvard Law Reviewという法律雑誌に掲載されたSamuel D. Warrenと Louis D. BrandeisのThe Right to Privacyという論文で、プライバシーが法的権利として論じられました。日本でプライバシーマークが創設されたのは1998年ですから、世界で最初に「プライバシーを法的なものとしてきちんと保護していこう」という提案がなされてから、108年後にプライバシーマークは始まったことになります。

第3期になりますと、データ保護法制定の議論が行われるようになります。
JIPDECでどういう議論がなされてきたかについては、第4期「国際機関基準確立・データ保護法制定発展期」以降で見ていきたいと思います。

OECD（経済協力開発機構）のプライバシー・ガイドラインは1980年9月23日に採択されましたが、それを受けて日本ではいろいろ検討が始まりました。OECDの勧告を受け、当時の行政管理庁、現在は総務省の一部になっていますが、そこで「プライバシー保護研究会」ができ、1982年には立法化を提唱しました。私は、当時、構成員の中では最年少者でした。

しかし日本ではなかなか民間部門を対象とする法律制定まで至りませんでした。2003年になって法律ができるわけですが、その間「民間できちんとプライバシー・個人情報を保護していこう」ということになり、JIPDECでは1986年1月に「民間部門におけるプライバシー保護調査研究委員会」が立ち上がりました。私はその委員長を仰せつかり、いろいろ検討をして翌年には報告書をまとめました。
その後、1987年度には「これを一つのガイドラインにして民間部門できちんと守るようにしよう」ということでガイドラインの策定に当たり、5月にJIPDECでガイドラインをまとめました。

JIPDECと密接に連絡をとりながら検討していたのが通商産業省でした。財団法人であるJIPDECが作ったガイドラインをきちんと守ってもらうためには「通商産業省としてガイドラインを出したい」ということで今度は同省で検討が始まりました。

当時の通産省機械情報産業局長の諮問機関として「個人情報保護部会」が設置され、私はその部会長を務めました。その間、1988年12月には「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されており、この法律の制定にも携わりました。1989年4月に「民間部門における電子計算機処理に係る個人情報の保護について」という報告書をまとめ、指針を示しました。このような経緯で、1980年代は行政機関について国の法律ができ、通産省とJIPDECで民間向けのガイドラインを作りました。

1980年代にJIPDECでガイドラインを議論したときはOECDの理事会勧告にある「プライバシー8原則」を参考にしましたが、1990年代になると欧州委員会（European Commission）が新たな動きを示してきます。

この1990年には、欧州委員会がData Protection Directive（データ保護指令）の提案をします。当時の通産省幹部が欧州委員会と貿易問題などで話をしている際に、「日本の個人情報保護はどうなっているか」と聞かれました。1989年のガイドラインを英訳したもので説明すると「ガイドラインに違反したらどうなるのか、sanction（制裁）があるのか」などと問われ、「ない」と答えると「それでは effective（効果的）ではない」と言われたということです。

このようなこともあり、1995年に通産省で「プライバシー問題検討ワーキンググループ」ができ、私はその座長を務めました。そこではEUの「データ保護指令」をも念頭に置きながら1989年のガイドラインの改正を検討しました。

EUの「データ保護指令」は1995年10月24日に採択され、3年後に施行されました。その間、通産省ではワーキンググループでいろいろ議論を行い、1997年3月4日には同省が改正ガイドラインとして
「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を官報告示しました。改正後のガイドラインはかなり詳しいものになっています。

そこでは、認証制度は議論になりませんでしたが、神奈川県で創設されたPDマークの審査なども経験していましたので、民間が個人情報を保護していく上でインセンティブになるようなものとして、私が提案したのが神奈川県のPDマークのようなものでした。

1990年に神奈川県で取り入れ、今JIPDECの指定機関で行っている審査ほど厳密なものではなかったものの、私も実際に審査を行っていました。1997年までそういう経験を持っていたため神奈川県の事例を話したところ、当時の通産省幹部の方が「それは重要なものですね」と興味を示してくれました。
「JIPDECで検討してみてほしい」という要請を受けました。

1997年7月からはJIPDECの「個人情報保護に係る環境整備検討委員会」で委員長として、マーク制度の検討を始めました。神奈川県のような自治体とは違い、JIPDECでの取組みは全国規模になるため、規程類もいくつも策定しました。通産省の改正ガイドラインを基に「プライバシーマーク制度」を作り、発足したのが1998年4月1日です。

その後、通産省工業技術院関係者から「通産省のガイドラインで運用すると通産省所管の団体や事業者に限定されるのではないか」「これを日本工業規格（現：産業規格）として、もっと広く、いろいろな業種でこのマークを取り入れてもらうようにしてはどうか」とアドバイスをいただき、JISとして提案していくことになりました。

原案はJIPDECで作成し、日本規格協会でJIS原案を審議する「個人情報保護規格審議委員会」が立ち上がり、私が委員長を務めました。ここで1999年3月に日本工業規格JIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」をまとめました。「プライバシーマーク制度」は1998年4月に発足し、そのときは通産省のガイドラインを基にしていましたが、1999年4月からはJIS Q 15001に基づく運用を開始しました。

この年には、政府の「高度情報通信社会推進本部」（本部長・小渕恵三内閣総理大臣）において「個人情報保護検討部会」が立ち上がり、私はその座長を務めることになりました。7月に第1回会合を開き、この年の12月までには報告をまとめるように要請され、大忙しでした。

21世紀に入ると、世界的に個人情報保護法がますます多くの国で制定されるようになりました。2000年代の第6期「データ保護法制定拡大期」です。当時の経済界の方々などと話してみると、厳しい法律は困ると言います。ならば「日本には基本法という体系があるので、それでルールを作っていくのはどうだろうか」と話し基本法で進めることになりました。

当時の検討部会では様々な分野の方が入っており「基本法を作るのはなかなか難しいだろう」ということもあり、全閣僚で構成されている「高度情報通信社会推進本部」へ説明に行き、新たな委員会を作っていただきたいと提案しました。

青木幹雄官房長官に検討していただくことになり、新たに「個人情報保護法制化専門委員会」が2000年に設けられることになりました。委員長は、前最高裁判事の園部逸夫さんで、今日お見えの高芝利仁先生と藤原靜雄先生はその委員を務めました。私は検討部会座長の立場で、名簿には「以上のほか、堀部政男検討部会座長が常時出席するものとする」ということで参加しました。

2001年には国会に法案が提出されましたが、なかなか通らずようやく2003年に成立しました。

先ほど述べた1988年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」も全部改正されましたので、その他の関係法律も含め個人情報保護関係5法というような言い方をしますが、2003年5月23日に成立、5月30日に公布され、2005年4月1日に全面施行されました。

2003年から2005年までは施行準備期に入りますが、その間にプライバシーマークの申請が急増しました。

「プライバシーマーク付与事業者数」の推移を見ますと、最初は58件ほどで、2004年度は1,294件とずいぶん増えています。これは「個人情報保護法」が2005年4月1日に施行されるということで、民間で「プライバシーマーク制度」への関心が高まっていったことがよくわかります。その後、2005年度3,656件、2006年度7,347件と、倍々といってもいいぐらいに付与事業者数が増えていきました。

2022年度の終わりで17,480件と、発足後は順調に増えています。これも指定機関・事業者の方々のおかげと感謝しております。

JIPDECでは英語での資料も作っており、私も国際的にずいぶん発信してきました。最も早くは1999年の香港での国際会議でRecent National Privacy Standards Initiatives : Japanというタイトルで報告しました。

ボードに神奈川県の「PDマーク」とJIPDECの「プライバシーマーク」を描いて「日本ではこういうマークも取り入れてJIS Q 15001で保護措置を講じることになった」とスピーチしたところ、規格とマークを一体化させたことに関心が集まりました。主催者だったカナダ規格協会からは「日本が中心になってISO化を進めてほしい」という声も上がりましたが、日本でそれを引き受けるだけの余力がなかったので、引き受けないままになりました。

その後も海外への発信はかなり行いました。例えば、2002年3月25日、ニュージーランドのオークランドで開催の「第3回プライバシー・データ保護アジア太平洋フォーラム」で、2003年2月13日、タイのチェンライで開かれた「APECプライバシー・ワークショップ」でもプライバシーマークを紹介しています。

また、国際会議の参加者や外国のデータ保護関係者などからよく質問され、説明してきています。

後になりますが、2020年にWolters Kluwer社が 発行したジャーナルGlobal Privacy Law Review, vol.1, issue3では日本が特集され、プライバシーマークについても触れられています。そのうちの一つが、ブリュッセルの弁護士であるTanguy Van Overstraeten氏による論稿です。次のように書いています。

最近、こういうこともありました。現在の世界プライバシー会議（Global Privacy Assembly, GPA）の2021年の主催国はメキシコでした。そのデータ保護機関であるINAI（National Institute for Transparency, Access to Information and Personal Data Protection）から、「データ保護の人間中心のアプローチ」（Human-centric approach）について、500語以内で原稿を書いてほしいという依頼を受けました。INAIは、依頼論稿や2021年の国際会議（オンライン中心）の報告・記録などをMemory Bookと題する書籍にまとめて、2022年10月にトルコのイスタンブールで開かれたGPAで一定数を配布しました。それを読んだイギリスのStewart Dresner氏から、同氏が発行するPrivacy Laws & Businessにも書くように要請されました。Dresner氏は、プライバシーマークについていくつか質問したいということで、それへの回答も含めて原稿をまとめてみてほしいと言ってきました。それに答えて書いたものが、 Privacy Laws & Businessの2022年12月号に掲載されました。

それを見た、Journal of Data Protection and Privacyという雑誌（イギリスのHenry Stewart Publicationsという出版社発行）の編集委員会の委員長から、プライバシーマークについてやや詳しい原稿を頼まれました（ただし、査読ありとのことでした）。JIPDECの英文の資料も紹介しながら原稿を書きました。査読も通り、同誌の第6巻第1号（2023年秋発行）に載りました。14頁にわたる拙稿は、その制度創設の歴史から現状までを記述した、これまでのところ最も詳しい情報を英文で提供しているものであると言えます。

このように、国際的発信もしてきています。

プライバシーマークについては、日本でも様々な形で紹介されています。NHKが2005年4月に全国ニュースでプライバシーマーク制度の審査風景を取材、放送するなどメディアからの注目も集めています。

そこでは、審査員が厳正な審査を行う過程を事細かに伝え、個人情報保護法をきっかけに取得企業が急増している現状を伝えていました。番組では「個人情報の適切な管理次第では取引ができない事態も招きかねず、企業にとって生き残りをかけた取引はこれからも続く」と締め括られ、実際の審査が適切に行われていることがよくわかる内容となっていました。

述べたいことは尽きませんが、JIPDECの事業計画書で明らかにしている展望を紹介します。「2023年度事業計画書」は、次のような項目を挙げて、具体的に説明しています。

（1）制度運用の基盤強化（デジタル化）
（2）普及促進活動の充実
（3）時代の変化に対応した事故の評価と対応
（4）審査の迅速化

更なる発展のためには、これらが具体化されることが必須であり、そうすることを望んでいます。指定審査機関には、これからもぜひ厳格に審査をしていただき、付与事業者の数を増やしていただくことを期待しています。